Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorial: Erkennen und Redigieren von PII-Daten mit S3 Object Lambda und Amazon Comprehend
**Anmerkung**
Seit dem 7. November 2025 ist S3 Object Lambda nur für Bestandskunden verfügbar, die den Service derzeit nutzen, sowie für ausgewählte AWS Partner Network (APN) -Partner. Weitere Informationen zu Features, die S3 Object Lambda ähneln, finden Sie hier – Änderung der [Verfügbarkeit von Amazon S3 Object Lambda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazons3-ol-change.html).
Wenn Sie Amazon S3 für gemeinsam genutzte Datensätze für mehrere Anwendungen und Benutzer verwenden, die darauf zugreifen können, ist es wichtig, privilegierte Informationen wie persönlich identifizierbare Informationen (PII) nur auf autorisierte Entitäten zu beschränken. Wenn beispielsweise eine Marketing-Anwendung einige Daten verwendet, die PII enthalten, müssen möglicherweise zuerst PII-Daten maskiert werden, um die Datenschutzanforderungen zu erfüllen. Wenn eine Analytikanwendung ein Bestandsdatensatz für Produktionsaufträge verwendet, muss sie möglicherweise zuerst die Kreditkarteninformationen des Kunden überarbeiten, um unbeabsichtigte Datenverluste zu verhindern.
Mit [S3 Object Lambda](https://aws.amazon.com/s3/features/object-lambda) und eine vorgefertigte AWS Lambda -Funktion, die von Amazon Comprehend unterstützt wird, können Sie PII-Daten schützen, die von S3 abgerufen wurden, bevor Sie sie an eine Anwendung zurückgeben. Insbesondere können Sie die vorgefertigte [Lambda-Funktion](https://aws.amazon.com/lambda/) als Redigierungsfunktion nutzen und sie an einen S3 Object Lambda Access Point anfügen. Wenn eine Anwendung (z. B. eine Analytik-Anwendung) [S3-GET-Standardanforderungen](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) sendet, rufen diese Anforderungen über den S3 Object Lambda Zugangspunkt die vordefinierte redigierende Lambda-Funktion auf, um PII-Daten, die über einen unterstützenden S3-Zugangspunkt aus einer zugrunde liegenden Datenquelle abgerufen wurden, zu erkennen und zu redigieren. Dann gibt der S3 Object Lambda Access Point das redigierte Ergebnis zurück an die Anwendung aus.
![\[Dies ist ein S3 Object Lambda-Workflow-Diagramm.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/ol-comprehend-image-global.png)
In diesem Prozess verwendet die vorgefertigte Lambda-Funktion [Amazon Comprehend](https://aws.amazon.com/comprehend/), eine natürliche Sprachverarbeitung (NLP), um Variationen in der Darstellung von PII zu erfassen, unabhängig davon, wie PII im Text vorhanden sind (z. B. numerisch oder als Kombination aus Wörtern und Zahlen). Amazon Comprehend kann sogar Kontext im Text verwenden, um zu verstehen, ob eine vierstellige Zahl eine PIN, die letzten vier Zahlen einer Sozialversicherungsnummer (SSN) oder ein Jahr ist. Amazon Comprehend verarbeitet jede Textdatei im UTF-8-Format und kann PII skaliert schützen, ohne die Genauigkeit zu beeinträchtigen. Weitere Informationen finden Sie unter [Was ist Amazon Comprehend?](https://docs.aws.amazon.com/comprehend/latest/dg/what-is.html) im *Entwicklerhandbuch für Amazon Comprehend*.
**Ziel**
In diesem Tutorial erfahren Sie, wie Sie S3 Object Lambda mit der vordefinierten Lambda-Funktion `ComprehendPiiRedactionS3ObjectLambda` verwenden. Diese Funktion verwendet Amazon Comprehend, um PII-Entitäten zu erkennen. Diese Entitäten werden dann durch Sternchen ersetzt. Durch das Redigieren von PII verbergen Sie sensible Daten, die bei Sicherheit und Compliance helfen können.
Sie lernen auch, wie Sie eine vorgefertigte AWS Lambda Funktion verwenden und konfigurieren, [AWS Serverless Application Repository](https://aws.amazon.com/serverless/serverlessrepo/)um mit S3 Object Lambda für eine einfache Bereitstellung zusammenzuarbeiten.
**Topics**
+ [
## Voraussetzungen: Erstellen Sie einen IAM-Benutzer mit Berechtigungen
](#ol-pii-prerequisites)
+ [
## Schritt 1: Einen S3-Bucket erstellen
](#ol-pii-step1)
+ [
## Schritt 2: Hochladen einer Datei zu einem S3-Bucket
](#ol-pii-step2)
+ [
## Schritt 3: Erstellen eines S3-Zugriffspunkts
](#ol-pii-step3)
+ [
## Schritt 4: Konfigurieren und Bereitstellen einer vordefinierten Lambda-Funktion
](#ol-pii-step4)
+ [
## Schritt 5: Erstellen eines S3 Object Lambda Access Point
](#ol-pii-step5)
+ [
## Schritt 6: Verwenden des S3 Object Lambda Access Point zum Abrufen der redigierten Daten
](#ol-pii-step6)
+ [
## Schritt 7: Bereinigen
](#ol-pii-step7)
+ [
## Nächste Schritte
](#ol-pii-next-steps)
## Voraussetzungen: Erstellen Sie einen IAM-Benutzer mit Berechtigungen
Bevor Sie mit diesem Tutorial beginnen, benötigen Sie ein AWS Konto, mit dem Sie sich als AWS Identity and Access Management Benutzer (IAM-Benutzer) mit den richtigen Berechtigungen anmelden können.
Sie können für das Tutorial die Anmeldeinformationen eines IAM-Benutzers erstellen. Um dieses Tutorial abzuschließen, muss Ihr IAM-Benutzer die folgenden IAM-Richtlinien anhängen, um auf relevante AWS Ressourcen zuzugreifen und bestimmte Aktionen auszuführen.
**Anmerkung**
Der Einfachheit halber wird in diesem Tutorial einen IAM-Benutzer erstellt und verwendet. Denken Sie nach Abschluss dieses Tutorials an [Löschen des IAM-Benutzers](#ol-pii-step8-delete-user). Für den Einsatz in der Produktion empfehlen wir, dass Sie die [bewährten Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch* befolgen. Eine bewährte Methode ist, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen. Eine weitere bewährte Methode besteht darin, dass Workloads temporäre Anmeldeinformationen mit IAM-Rollen verwenden müssen, um auf AWS zuzugreifen. Weitere Informationen AWS IAM Identity Center zur Erstellung von Benutzern mit temporären Anmeldeinformationen finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) im *AWS IAM Identity Center Benutzerhandbuch*.
In diesem Tutorial werden auch Richtlinien mit vollem Zugriff verwendet. Für die Verwendung in der Produktion empfehlen wir, dass Sie stattdessen nur die für Ihren Anwendungsfall erforderlichen Mindestberechtigungen gemäß [Bewährte Methoden in Bezug auf die Sicherheit](security-best-practices.md#security-best-practices-prevent) erteilen.
Ihr IAM-Benutzer benötigt die folgenden AWS verwalteten Richtlinien:
+ [AmazonS3 FullAccess — Erteilt](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor) Berechtigungen für alle Amazon S3-Aktionen, einschließlich der Berechtigungen zum Erstellen und Verwenden eines Object Lambda Access Points.
+ [AWSLambda\$1FullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLambda_FullAccess$jsonEditor)— Erteilt Berechtigungen für alle Lambda-Aktionen.
+ [AWSCloudFormationFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSCloudFormationFullAccess$serviceLevelSummary)— Erteilt Berechtigungen für alle AWS CloudFormation Aktionen.
+ [IAMFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/IAMFullAccess$jsonEditor) — Erteilt Berechtigungen für alle IAM-Aktionen.
+ [IAMAccessAnalyzerReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/IAMAccessAnalyzerReadOnlyAccess$jsonEditor)— Erteilt Berechtigungen zum Lesen aller von IAM Access Analyzer bereitgestellten Zugriffsinformationen.
Sie können diese vorhandenen Richtlinien direkt anhängen, wenn Sie einen IAM-Benutzer erstellen. Weitere Informationen zum Erstellen eines IAM-Benutzers finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*.
Darüber hinaus erfordert Ihr IAM-Benutzer eine vom Kunden verwaltete Richtlinie. Um dem IAM-Benutzer Berechtigungen für alle AWS Serverless Application Repository Ressourcen und Aktionen zu gewähren, müssen Sie eine IAM-Richtlinie erstellen und die Richtlinie an den IAM-Benutzer anhängen.
**Erstellen einer IAM-Richtlinie und Anfügen der Richtlinie an Ihren IAM-Benutzer**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Richtlinien** aus.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im Tab **Visual editor (Visueller Editor)** für **Service** **Choose a service (Wählen Sie einen Service)** aus. Wählen Sie dann **Serverless Application Repository**.
1. Wählen Sie für **Aktionen** unter **Manuelle Aktionen** **Alle Aktionen des Serverless Application Repository (serverlessrepo: \$1)** für dieses Tutorial.
Als bewährte Methode für die Sicherheit sollten Sie basierend auf Ihrem Anwendungsfall nur für jene Aktionen und Ressourcen Berechtigungen zulassen, für die ein Benutzer Zugriff benötigt. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie für **Ressourcen** **Alle Ressourcen** für dieses Tutorial.
Als bewährte Methode sollten Sie Berechtigungen nur für bestimmte Ressourcen in bestimmten Konten definieren. Alternativ können Sie die geringste Berechtigung mit Bedingungsschlüsseln erteilen. Weitere Informationen finden Sie unter [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Next: Tags** (Weiter: Tags) aus.
1. Klicken Sie auf **Weiter: Prüfen**.
1. Geben Sie auf der Seite **Richtlinie überprüfen** einen **Name** (z. B. **tutorial-serverless-application-repository**) und eine **Beschreibung** (optional) für die zu erstellende Richtlinie ein. Überprüfen Sie die Richtlinienzusammenfassung, um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben, und wählen Sie dann **Richtlinie erstellen** aus, um Ihre neue Richtlinie zu speichern.
1. Wählen Sie im linken Navigationsbereich **Benutzer** aus. Wählen Sie dann den IAM-Benutzer für dieses Tutorial aus.
1. Wählen Sie auf der Seite **Übersicht** des ausgewählten Benutzers den Tab **Berechtigungen** und danach **Hinzufügen von Berechtigungen**.
1. Wählen Sie unter **Berechtigungen gewähren** die Option **Vorhandene Richtlinien direkt anfügen** aus.
1. Aktivieren Sie das Kontrollkästchen neben der gerade erstellten Richtlinie (z. B. **tutorial-serverless-application-repository**) und wählen Sie dann **Nächstes: Überprüfung**.
1. Prüfen Sie unter **Richtlinienübersicht** die Zusammenfassung, um sicherzustellen, dass Sie die beabsichtigte Richtlinie angefügt haben. Wählen Sie dann **Add permissions (Berechtigungen hinzufügen)** aus.
## Schritt 1: Einen S3-Bucket erstellen
Erstellen Sie einen Bucket zum Speichern der ursprünglichen Daten, die Sie transformieren möchten.
**Anmerkung**
Access Points können für eine andere Datenquelle angehängt werden, z. B. ein Amazon FSx for OpenZFS-Volume. In diesem Tutorial wird jedoch ein unterstützender Access Point verwendet, der an einen S3-Bucket angeschlossen ist.
**So erstellen Sie einen Bucket**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
Die Seite **Create bucket** (Bucket erstellen) wird geöffnet.
1. Geben Sie für **Bucket-Name** einen Namen für Ihren Bucket ein (z. B. **tutorial-bucket**).
Weitere Informationen zur Benennung von Buckets in Amazon S3 finden Sie unter [Benennungsregeln für Allzweck-Buckets](bucketnamingrules.md).
1. Unter **Region** wählen Sie die AWS-Region aus, in der sich der Bucket befinden soll.
Weitere Informationen zur Bucket-Region finden Sie unter [Übersicht über Allzweck-Buckets](UsingBucket.md).
1. Belassen Sie die **Einstellungen für den öffentlichen Zugriff für diesen Bucket blockieren** bei den Standardeinstellungen (***Alle* öffentlichen Zugriffe blockieren** ist aktiviert).
Es wird empfohlen, alle Einstellungen für öffentlichen Zugriff blockieren aktiviert zu belassen, es sei denn, Sie müssen eine oder mehrere dieser Einstellungen für Ihren Anwendungsfall deaktivieren. Weitere Informationen zum Blockieren des öffentlichen Zugriffs finden Sie unter [Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher](access-control-block-public-access.md).
1. Lassen Sie die restlichen Einstellungen auf die Standardwerte eingestellt.
(Optional) Informationen zum Konfigurieren zusätzlicher Bucket-Einstellungen für Ihren spezifischen Anwendungsfall finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md).
1. Wählen Sie **Bucket erstellen** aus.
## Schritt 2: Hochladen einer Datei zu einem S3-Bucket
Laden Sie eine Textdatei mit bekannten PII-Daten verschiedener Typen, wie Namen, Bankinformationen, Telefonnummern usw., als Originaldaten in den S3-Bucket hoch SSNs, aus denen Sie später in diesem Tutorial die PII redigieren werden.
Sie können beispielsweise nach der `tutorial.txt`-Datei hochladen. Dies ist ein Beispiel für eine Eingabedatei von Amazon Comprehend.
```
Hello Zhang Wei, I am John. Your AnyCompany Financial Services,
LLC credit card account 1111-0000-1111-0008 has a minimum payment
of $24.53 that is due by July 31st. Based on your autopay settings,
we will withdraw your payment on the due date from your
bank account number XXXXXX1111 with the routing number XXXXX0000.
Your latest statement was mailed to 100 Main Street, Any City,
WA 98121.
After your payment is received, you will receive a confirmation
text message at 206-555-0100.
If you have questions about your bill, AnyCompany Customer Service
is available by phone at 206-555-0199 or
email at support@anycompany.com.
```
**Hochladen einer Datei in einen Bucket**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des Buckets aus, den Sie in [Schritt 1](#ol-pii-step1) (z. B. **tutorial-bucket**) erstellt haben, in den Sie die Datei hochladen möchten.
1. Wählen Sie im Tab **Objects (Objekte)** für Ihren Bucket die Option **Upload (Hochladen)** aus.
1. Wählen Sie auf der Seite **Upload** unter **Dateien und Ordner** die Option **Dateien hinzufügen** aus.
1. Wählen Sie eine hochzuladende Datei und dann **Open** (Öffnen) aus. Sie können z. B. das oben erwähnte `tutorial.txt`-Dateibeispiel hochladen.
1. Klicken Sie auf **Upload**.
## Schritt 3: Erstellen eines S3-Zugriffspunkts
Um einen S3 Object Lambda Access Point für den Zugriff und die Umwandlung der ursprünglichen Daten zu verwenden, müssen Sie einen S3-Zugriffspunkt erstellen und dem S3-Bucket zuordnen, den Sie in [Schritt 1](#ol-pii-step1) erstellt haben. Der Access Point muss sich in demselben Zustand befinden AWS-Region wie die Objekte, die Sie transformieren möchten.
Später in diesem Tutorial verwenden Sie diesen Zugriffspunkt als unterstützenden Zugriffspunkt für Ihren Object Lambda Access Point.
**So erstellen Sie einen Zugangspunkt**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Zugriffspunkte** aus.
1. Wählen Sie auf der Seite **Zugriffspunkte** die Option **Zugriffspunkt erstellen** aus.
1. Geben Sie im Feld **Name des Zugriffspunkts** den gewünschten Namen für den Zugriffspunkt ein (z. B. **tutorial-pii-access-point**).
Weitere Hinweise zur Benennung von Zugangspunkten finden Sie unter [Regeln für die Benennung von Zugangspunkten](access-points-restrictions-limitations-naming-rules.md#access-points-names).
1. Wählen Sie im Feld **Datenquelle** den Namen des Buckets aus, den Sie in [Schritt 1](#ol-pii-step1) (z. B. **tutorial-bucket**) erstellt haben. S3 hängt den Zugriffspunkt an diesen Bucket an.
(Optional) Sie können **S3 durchsuchen** auswählen, um die Buckets in Ihrem Konto zu browsen und zu durchsuchen. Wenn Sie **Browse S3 (S3 durchsuchen)** wählen, wählen Sie den gewünschten Bucket aus und dann **Choose path (Pfad wählen)**, um das Feld **Bucket name (Bucket-Name)** mit dem Namen dieses Buckets zu füllen.
1. Wählen Sie für **Netzwerkursprung** **Internet** aus.
Weitere Informationen zu Netzwerkursprüngen für Zugangspunkte finden Sie unter [Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind](access-points-vpc.md).
1. Alle Block-Public-Access-Einstellungen sind standardmäßig für Zugriffspunkte aktiviert. Sie sollten alle Einstellungen für das **Blockieren *aller* öffentlichen Zugriffe** aktiviert lassen. Weitere Informationen finden Sie unter [Verwalten des öffentlichen Zugriffs auf Zugangspunkte für Allzweck-Buckets](access-points-bpa-settings.md).
1. Behalten Sie für alle anderen Zugriffspunktseinstellungen die Standardeinstellungen bei.
(Optional) Sie können die Zugriffspunktseinstellungen ändern, um Ihren Anwendungsfall zu unterstützen. Für dieses Tutorial empfehlen wir, dass die Standardeinstellungen beibehalten werden.
(Optional) Wenn Sie den Zugriff auf Ihren Zugriffspunkt verwalten müssen, können Sie eine Zugriffspunkt-Richtlinie angeben. Weitere Informationen finden Sie unter [Richtlinienbeispiele für Zugangspunkte](access-points-policies.md#access-points-policy-examples).
1. Wählen Sie **Zugangspunkt erstellen** aus.
## Schritt 4: Konfigurieren und Bereitstellen einer vordefinierten Lambda-Funktion
Um PII-Daten zu überarbeiten, konfigurieren und stellen Sie die vorgefertigte AWS Lambda -Funktion `ComprehendPiiRedactionS3ObjectLambda` für die Verwendung mit Ihrem S3 Object Lambda Access Point bereit.
**Konfigurieren und Bereitstellen der Lambda-Funktion**
1. Melden Sie sich bei an AWS-Managementkonsole und sehen Sie sich die [https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:839782855223:applications/ComprehendPiiRedactionS3ObjectLambda](https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:839782855223:applications/ComprehendPiiRedactionS3ObjectLambda)Funktion in der an AWS Serverless Application Repository.
1. Behalten Sie für **Anwendungseinstellungen** unter **Anwendungsname** den Standardwert (`ComprehendPiiRedactionS3ObjectLambda`) für dieses Tutorial bei.
(Optional) Sie können den Namen eingeben, den Sie dieser Anwendung geben möchten. Sie können dies tun, wenn Sie planen, mehrere Lambda-Funktionen für unterschiedliche Zugriffsanforderungen für denselben freigegebenen Datensatz zu konfigurieren.
1. Behalten Sie für **MaskCharacter**den Standardwert (`*`) bei. Das Maskenzeichen ersetzt jedes Zeichen in der geschärften PII-Entität.
1. Behalten Sie für **MaskMode**den Standardwert (**MASK**) bei. Der **MaskMode**Wert gibt an, ob die PII-Entität mit dem `MASK` Zeichen oder dem `PII_ENTITY_TYPE` Wert geschwärzt wird.
1. **Um die angegebenen Datentypen zu schwärzen **PiiEntityTypes**, behalten Sie für den Standardwert ALL bei.** Der **PiiEntityTypes**Wert gibt die PII-Entitätstypen an, die für die Schwärzung in Betracht gezogen werden sollen.
Weitere Informationen zur Liste der unterstützten PII-Entitäts-Typen finden Sie unter [Persönliche identifizierbare Informationen (PII) erkennen](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) im *Entwicklerhandbuch für Amazon Comprehend*.
1. Lassen Sie die restlichen Einstellungen bei den Standardwerten.
(Optional) Informationen zum Konfigurieren von zusätzlichen Einstellungen für Ihren speziellen Anwendungsfall finden Sie im Abschnitt **Readme-Datei** auf der linken Seite der Seite.
1. Aktivieren Sie das Kontrollkästchen neben **Ich bestätige, dass diese App benutzerdefinierte IAM-Rollen erstellt**.
1. Wählen Sie **Bereitstellen**.
1. Wählen Sie auf der Seite der neuen Anwendung unter **Ressourcen** die**Logische ID** der Lambda-Funktion, die Sie bereitgestellt haben, um die Funktion auf der Lambda-Funktionsseite zu überprüfen.
## Schritt 5: Erstellen eines S3 Object Lambda Access Point
Ein S3 Object Lambda Access Point bietet die Flexibilität, eine Lambda-Funktion direkt aus einer S3-GET-Anforderung aufzurufen, sodass die Funktion PII-Daten überarbeiten kann, die von einem S3-Zugriffspunkt abgerufen wurden. Beim Erstellen und Konfigurieren eines S3 Object Lambda Access Point müssen Sie die überarbeitende Lambda-Funktion angeben, um den Ereigniskontext im JSON-Format als benutzerdefinierte Parameter für Lambda zu verwenden.
Der Ereigniskontext stellt Informationen über die Anforderung bereit, die in dem von S3 Object Lambda an Lambda übergebenen Ereignis gestellt wird. Weitere Informationen zu allen Feldern im Ereigniskontext finden Sie unter [Format und Verwendung des Ereigniskontexts](olap-event-context.md).
**So erstellen Sie einen S3 Object Lambda Access Point**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Objekt-Lambda-Zugriffspunkte** aus.
1. Wählen Sie auf der Seite **Object Lambda access points (Objekt-Lambda-Zugriffspunkte)** die Option **Create Object Lambda access point (Objekt-Lambda-Zugriffspunkt erstellen)**.
1. Geben Sie unter **Name des Objekt-Lambda-Access Point** den Namen ein, den Sie für den Object Lambda Access Point verwenden möchten (z. B. **tutorial-pii-object-lambda-accesspoint**).
1. Geben Sie für **Unterstützenden Zugangspunkt** den Standardzugangspunkt ein, den Sie in [Schritt 3](#ol-pii-step3) erstellt haben (z. B. **tutorial-pii-access-point**), oder navigieren Sie zu diesem Zugangspunkt und wählen dann **Unterstützenden Zugangspunkt auswählen** aus.
1. Um für **S3** Objekte aus dem S3-Bucket abzurufen APIs, damit die Lambda-Funktion sie verarbeiten kann, wählen Sie **GetObject**.
1. Für die **Funktion Lambda aufrufen** können Sie eine der beiden folgenden Optionen für dieses Tutorial auswählen.
+ Wählen Sie **Wählen Sie aus Funktionen in Ihrem Konto** und wählen Sie die Lambda-Funktion, die Sie in [Schritt 4](#ol-pii-step4) bereitgestellt haben (z. B. **serverlessrepo-ComprehendPiiRedactionS3ObjectLambda**) aus der Dropdown-Liste **Lambda-Funktion**.
+ Wählen Sie **ARN eingeben** und geben Sie dann den Amazon-Ressourcennamen (ARN) der Lambda-Funktion ein, die Sie in [Schritt 4](#ol-pii-step4) erstellt haben.
1. Wählen Sie für **Versioning der Lambda-Funktion**, **\$1LATEST** (die neueste Version der Lambda-Funktion, die Sie in [Schritt 4](#ol-pii-step4) erstellt haben).
1. (Optional) Wenn Sie Ihre Lambda-Funktion benötigen, um GET-Anforderungen mit Bereichs- und Teilenummern-Headern zu erkennen und zu bearbeiten, wählen Sie **Lambda-Funktion unterstützt Anforderungen mit Bereich** und **Lambda-Funktion unterstützt Anforderungen mit Teilenummern** aus. Deaktivieren Sie andernfalls diese beiden Kontrollkästchen.
Weitere Informationen zur Verwendung von Bereichs- oder Teilenummern mit S3 Object Lambda finden Sie unter [Arbeiten mit Range- und partNumber-Headern](range-get-olap.md).
1. (Optional) Fügen Sie unter **Nutzlast – *optional*** JSON-Text hinzu, um Ihrer Lambda-Funktion zusätzliche Informationen bereitzustellen.
Eine Nutzlast ist ein optionaler JSON-Text, den Sie Ihrer Lambda-Funktion als Eingabe für alle Aufrufe bereitstellen können, die von einem spezifischen S3 Object Lambda Access Point stammen. Um das Verhalten für mehrere Object Lambda Access Points anzupassen, die dieselbe Lambda-Funktion aufrufen, können Sie Nutzlasten mit unterschiedlichen Parametern konfigurieren und so die Flexibilität Ihrer Lambda-Funktion erweitern.
Weitere Informationen zur Nutzlast finden Sie unter [Format und Verwendung des Ereigniskontexts](olap-event-context.md).
1. (Optional) Wählen Sie für **Anforderungsmetriken – *optional*** die Option **Deaktivieren** oder **Aktivieren** aus, um die Amazon-S3-Überwachung zu Ihrem Object-Lambda-Zugangspunkt hinzuzufügen. Anforderungsmetriken werden zum CloudWatch Standardtarif von Amazon abgerechnet. Weitere Informationen finden Sie unter [CloudWatch Preise](https://aws.amazon.com/cloudwatch/pricing/).
1. Behalten Sie unter **Objekt-Lambda-Zugriffspunkt-Richtlinie - *optional*** die Standardeinstellung bei.
(Optional) Sie können eine Ressourcenrichtlinie festlegen. Diese Ressourcenrichtlinie erteilt der `GetObject`-API die Berechtigung zur Verwendung des angegebenen Object Lambda Access Point.
1. Lassen Sie die restlichen Einstellungen auf die Standardwerte eingestellt und klicken Sie auf **Erstellen eines Objekt-Lambda-Zugriffspunkts**.
## Schritt 6: Verwenden des S3 Object Lambda Access Point zum Abrufen der redigierten Daten
Jetzt ist S3 Object Lambda bereit, PII-Daten aus Ihrer Originaldatei zu redigieren.
**So verwenden Sie den S3 Object Lambda Access Point zum Abrufen der redigierten Daten**
Wenn Sie eine Datei über Ihren S3 Object Lambda Access Point abrufen möchten, führen Sie einen `GetObject`-API-Aufruf für S3 Object Lambda aus. S3 Object Lambda ruft die Lambda-Funktion auf, um Ihre PII-Daten zu redigieren und gibt die transformierten Daten als Antwort auf die Standard-S3-`GetObject` API-Aufrufe.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Objekt-Lambda-Zugriffspunkte** aus.
1. Wählen Sie auf der Seite **Objekt-Lambda-Zugriffspunkte** den S3 Object Lambda Access Point aus, den Sie in [Schritt 5](#ol-pii-step5) erstellt haben (z. B. **tutorial-pii-object-lambda-accesspoint**).
1. Wählen Sie auf der Registerkarte **Objekte** Ihres S3 Object Lambda Access Point die Datei mit dem gleichen Namen (z. B. `tutorial.txt`) wie diejenige aus, die Sie in [Schritt 2](#ol-pii-step2) in den S3-Bucket hochgeladen haben.
Diese Datei sollte alle transformierten Daten enthalten.
1. Um die transformierten Daten anzuzeigen, wählen Sie **Öffnen** oder **Herunterladen** aus.
Sie sollten in der Lage sein, die redigierte Datei zu sehen, wie im folgenden Beispiel gezeigt.
```
Hello *********. Your AnyCompany Financial Services,
LLC credit card account ******************* has a minimum payment
of $24.53 that is due by *********. Based on your autopay settings,
we will withdraw your payment on the due date from your
bank account ********** with the routing number *********.
Your latest statement was mailed to **********************************.
After your payment is received, you will receive a confirmation
text message at ************.
If you have questions about your bill, AnyCompany Customer Service
is available by phone at ************ or
email at **********************.
```
## Schritt 7: Bereinigen
Wenn Sie Ihre Daten nur zu Lernzwecken mit S3 Object Lambda redigiert haben, löschen Sie die AWS Ressourcen, die Sie zugewiesen haben, sodass Ihnen keine Gebühren mehr anfallen.
**Topics**
+ [
### Löschen des Object Lambda Access Point
](#ol-pii-step8-delete-olap)
+ [
### Löschen des S3-Zugriffspunkts
](#ol-pii-step8-delete-ap)
+ [
### Löschen Sie die Lambda-Funktion
](#ol-pii-step8-delete-lambda-function)
+ [
### Löschen Sie die CloudWatch Protokollgruppe
](#ol-pii-step8-delete-cloudwatch)
+ [
### Löschen Sie die Originaldatei im S3-Quell-Bucket
](#ol-pii-step8-delete-file)
+ [
### Löschen des S3-Quell-Bucket
](#ol-pii-step8-delete-bucket)
+ [
### Löschen der IAM-Rolle für Ihre Lambda-Funktion
](#ol-pii-step8-delete-lambda-role)
+ [
### Löschen der vom Kunden verwalteten Richtlinie für Ihren IAM-Benutzer
](#ol-pii-step8-delete-function-policy)
+ [
### Löschen des IAM-Benutzers
](#ol-pii-step8-delete-user)
### Löschen des Object Lambda Access Point
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Objekt-Lambda-Zugriffspunkte** aus.
1. Wählen Sie auf der Seite **Objekt-Lambda-Zugriffspunkte** die Optionsschaltfläche links neben dem S3 Object Lambda Access Point aus, den Sie in [Schritt 5](#ol-pii-step5) erstellt haben (z. B. **tutorial-pii-object-lambda-accesspoint**).
1. Wählen Sie **Löschen** aus.
1. Bestätigen Sie, dass Sie Ihren Object Lambda Access Point löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann **Löschen** wählen.
### Löschen des S3-Zugriffspunkts
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Zugriffspunkte** aus.
1. Navigieren Sie zu dem Zugriffspunkt, den Sie in [Schritt 3](#ol-pii-step3) (z. B. **tutorial-pii-access-point**) erstellt haben, und wählen Sie die Optionsschaltfläche neben dem Namen des Zugriffspunkts aus.
1. Wählen Sie **Löschen** aus.
1. Bestätigen Sie, dass Sie Ihren Zugriffspunkt löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann **Delete (Löschen)** wählen.
### Löschen Sie die Lambda-Funktion
1. Wählen Sie in der AWS Lambda Konsole unter [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)im linken Navigationsbereich **Funktionen** aus.
1. Wählen Sie die Funktion aus, die Sie in [Schritt 4](#ol-pii-step4) (z. B. **serverlessrepo-ComprehendPiiRedactionS3ObjectLambda**) erstellt haben.
1. Wählen Sie **Aktionen** und anschließend **Löschen** aus.
1. Wählen Sie im Bestätigungsdialogfeld **Delete** (Löschen) die Option **Delete** (Löschen) aus.
### Löschen Sie die CloudWatch Protokollgruppe
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im linken Navigationsbereich **Log groups (Protokollgruppen)** aus.
1. Suchen Sie die Protokollgruppe, deren Name mit der Lambda-Funktion endet, die Sie in [Schritt 4](#ol-pii-step4) (z. B. **serverlessrepo-ComprehendPiiRedactionS3ObjectLambda**) erstellt haben.
1. Wählen Sie **Actions (Aktionen)** und dann **Delete log group(s) (Protokollgruppe(n) löschen)** aus.
1. Wählen Sie im Dialogfeld **Delete log group(s)** (Protokollgruppe(n) löschen) die Option **Delete** (Löschen) aus.
### Löschen Sie die Originaldatei im S3-Quell-Bucket
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich die Option **Buckets** aus.
1. Wählen Sie in der Liste **Bucket-Name** den Namen des Buckets aus, in den Sie die Originaldatei in [Schritt 2](#ol-pii-step2) (z. B. **tutorial-bucket**) hochgeladen haben.
1. Markieren Sie das Kontrollkästchen links neben dem Namen des Objekts, das Sie löschen möchten (z. B. `tutorial.txt`).
1. Wählen Sie **Löschen** aus.
1. Bestätigen Sie auf der Seite **Löschen von Objekten** im Abschnitt **Objekte endgültig löschen?**, dass Sie dieses Objekt löschen möchten, indem Sie **permanently delete** im Textfeld eingeben.
1. Wählen Sie **Objekte löschen** aus.
### Löschen des S3-Quell-Bucket
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich die Option **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** das Optionsfeld neben dem Namen des Buckets aus, den Sie in [Schritt 1](#ol-pii-step1) (z. B. **tutorial-bucket**) erstellt haben.
1. Wählen Sie **Löschen** aus.
1. Bestätigen Sie auf der Seite **Delete bucket (Bucket löschen)**, dass Sie den Bucket löschen möchten. Geben Sie dazu den Bucket-Namen in das Textfeld ein und wählen Sie **Delete bucket (Bucket löschen)**.
### Löschen der IAM-Rolle für Ihre Lambda-Funktion
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im linken Navigationsbereich **Roles (Rollen)**, und aktivieren Sie dann das Kontrollkästchen neben der Rolle, die Sie löschen möchten. Der Rollenname beginnt mit dem Namen der Lambda-Funktion, die Sie in [Schritt 4](#ol-pii-step4) (z. B. **serverlessrepo-ComprehendPiiRedactionS3ObjectLambda**) erstellt haben.
1. Wählen Sie **Löschen** aus.
1. Geben Sie im Dialogfeld **Löschen** den Rollennamen in das Texteingabefeld ein, um das Löschen zu bestätigen. Wählen Sie dann **Löschen** aus.
### Löschen der vom Kunden verwalteten Richtlinie für Ihren IAM-Benutzer
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Richtlinien** aus.
1. Geben Sie auf der Seite **Richtlinien** den Namen der vom Kunden verwalteten Richtlinie ein, die Sie in [Voraussetzungen](#ol-pii-prerequisites) (z. B. **tutorial-serverless-application-repository**) erstellt haben, in das Suchfeld ein, um die Richtlinienliste zu filtern. Aktivieren Sie die Optionsschaltfläche neben dem Namen der Richtlinie, die Sie löschen möchten.
1. Wählen Sie **Aktionen** und anschließend **Löschen** aus.
1. Bestätigen Sie, dass Sie diese Richtlinie löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann **Delete (Löschen)** wählen.
### Löschen des IAM-Benutzers
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Benutzer**, und aktivieren Sie dann das Kontrollkästchen neben dem Benutzer, den Sie löschen möchten.
1. Wählen Sie oben auf der Seite **Delete (Löschen)** aus.
1. Im Bereich **Löschen? *user name*** Geben Sie im Dialogfeld den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie **Löschen** aus.
## Nächste Schritte
Nachdem Sie dieses Tutorial abgeschlossen haben, können Sie die folgenden verwandten Anwendungsfälle näher untersuchen:
+ Sie können mehrere S3 Object Lambda Access Points erstellen und diese mit vorgefertigten Lambda-Funktionen aktivieren, die unterschiedlich konfiguriert sind, um bestimmte Typen von PII je nach den geschäftlichen Anforderungen der Datenzugreifer zu bearbeiten.
Jeder Benutzertyp nimmt eine IAM-Rolle an und hat nur auf einen S3 Object Lambda Access Point Zugriff (verwaltet durch IAM-Richtlinien). Dann fügen Sie jede `ComprehendPiiRedactionS3ObjectLambda`-Lambda-Funktion, die für einen anderen Redigierungsanwendungsfall konfiguriert ist, an einen anderen S3 Object Lambda Access Point an. Für jeden S3 Object Lambda Access Point können Sie über einen unterstützenden S3-Zugriffspunkt verfügen, um Daten aus einem S3-Bucket zu lesen, der den freigegebenen Datensatz speichert.
Weitere Informationen zum Erstellen einer S3-Bucket-Richtlinie, die es Benutzern ermöglicht, nur über S3-Zugriffspunkte aus dem Bucket zu lesen, finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
Weitere Informationen dazu, wie Sie einem Benutzer die Berechtigung für den Zugriff auf die Lambda-Funktion, den S3-Zugriffspunkt und den S3 Object Lambda Access Point erteilen, finden Sie unter [Konfigurieren von IAM-Richtlinien für Object Lambda Access Points](olap-policies.md).
+ Sie können Ihre eigene Lambda-Funktion erstellen und S3 Object Lambda mit Ihrer angepassten Lambda-Funktion verwenden, um Ihre spezifischen Datenanforderungen zu erfüllen.
Um beispielsweise verschiedene Datenwerte zu untersuchen, können Sie S3 Object Lambda und Ihre eigene Lambda-Funktion verwenden, die zusätzliche [Amazon-Comprehend-Funktionen](https://aws.amazon.com/comprehend/features/) verwenden, z. B. Entitätserkennung, Schlüsselphrasenerkennung, Stimmungsanalyse und Dokumentklassifizierung, um Daten zu verarbeiten. Sie können S3 Object Lambda auch zusammen mit [Amazon Comprehend Medical](https://aws.amazon.com/comprehend/medical/), einem HIPAA-berechtigten NLP-Dienst, nutzen, um Daten kontextbewusst zu analysieren und zu extrahieren.
Weitere Informationen zum Transformieren von Daten mit S3 Object Lambda und Ihrer eigenen Lambda-Funktion finden Sie unter [Tutorial: Transformieren von Daten für Ihre Anwendung mit S3 Object Lambda](tutorial-s3-object-lambda-uppercase.md).